Я только что купил UniFi US-8 (8-портовый управляемый коммутатор PoE) и пытаюсь настроить его, но контроллер UniFi не может увидеть устройство; контроллер просто говорит: «Устройства не найдены».
Моя текущая сетевая настройка такова:
Модем/маршрутизатор ISP ( 192.168.0.1/24) -> Fortigate 30E ( 192.168.1.1/24) -> Настольный компьютер ( 192.168.1.10/24)
Контроллер UniFi установлен на моем рабочем столе ( 192.168.1.10/24).
Если я уберу Fortigate из уравнения:
- Перенастройте модем/маршрутизатор моего интернет-провайдера для работы в
192.168.1.0/24сети - Подключите коммутатор и мой рабочий стол к порту LAN на модеме/маршрутизаторе.
Затем я могу связаться (ping/ssh) с коммутатором со своего рабочего стола ( 192.168.1.10/24), и контроллер, работающий на моем рабочем столе, увидит коммутатор и сможет «принять» его.
Однако если я снова добавлю в уравнение ворота Фортигейта:
- Модем/маршрутизатор интернет-провайдера в
192.168.0.0/24сети - Fortigate 30E в
192.168.1.0/24сети (порт WAN подключен к порту LAN на маршрутизаторе интернет-провайдера) - Настольный компьютер и коммутатор подключены к портам LAN на Fortigate
Мой рабочий стол больше не видит коммутатор. Если посмотреть на инвентарь устройств в Fortigate, похоже, что коммутатор получает аренду DHCP для 192.168.1.12/24, но я могу получить доступ к этому адресу, только если подключу ноутбук напрямую к коммутатору и настрою ноутбук для работы в 192.168.1.0/24сети.
Делает ли Fortigate что-то, чтобы заблокировать трафик на коммутатор? Если да, что я могу сделать, чтобы разрешить трафику проходить?
Для справки, вывод команды show system interfaceприведен ниже:
FWF30E********** # show system interface
config system interface
edit "wan"
set vdom "root"
set ip 192.168.0.10 255.255.255.0
set allowaccess ping https http fgfm
set type physical
set scan-botnet-connections block
set role wan
set snmp-index 1
next
edit "modem"
set vdom "root"
set mode pppoe
set type physical
set snmp-index 2
next
edit "ssl.root"
set vdom "root"
set type tunnel
set alias "SSL VPN interface"
set snmp-index 3
next
edit "wifi"
set vdom "root"
set type vap-switch
set role lan
set snmp-index 5
next
edit "guestwifi"
set vdom "root"
set ip 192.168.11.1 255.255.255.0
set allowaccess ping https ssh http
set type vap-switch
set device-identification enable
set fortiheartbeat enable
set role lan
set snmp-index 7
next
edit "internal"
set vdom "root"
set ip 192.168.1.1 255.255.255.0
set allowaccess ping https ssh http fgfm capwap
set broadcast-forward enable
set type switch
set device-identification enable
set fortiheartbeat enable
set role lan
set snmp-index 6
next
edit "lan"
set vdom "root"
set type hard-switch
set stp enable
set role lan
set snmp-index 4
next
end
решение1
Итак, я думаю, что решил проблему — ниже мои заметки:
Я заметил, что если я перезагружаю брандмауэр, незадолго до того, как он закончит загрузку, коммутатор начинает принимать. Как только брандмауэр заканчивает загрузку, коммутатор теряет соединение. Я также не могу связаться ни с одним другим устройством в моей подсети.
Если я удаляю "lan" из членов "внутреннего" программного коммутатора по умолчанию, коммутатор (все еще имеющий адрес по умолчанию 192.168.1.20/24) подключается к моему рабочему столу (и я могу подключаться к другим устройствам в сети 192.168.1.0/24), но я теряю подключение к Интернету. Брандмауэр автоматически создает новый интерфейс аппаратного коммутатора под названием "lan", состоящий из всех 4 физических интерфейсов LAN в качестве интерфейсов-членов.
Чтобы снова подключиться к брандмауэру с моего настольного компьютера, мне пришлось войти в 192.168.1.99 (IP-адрес брандмауэра) с моего телефона (который находится во внутренней сети Wi-Fi 192.168.1.0/24) и установить новый IP-адрес шлюза "lan" на 192.168.10.99/24, затем настроить мой компьютер на работу в новой подсети (я установил его на 192.168.10.10/24 со шлюзом 192.168.10.99). Но теперь, поскольку мой настольный компьютер находится в другой подсети, я теряю соединение с коммутатором.
Со своего рабочего стола (192.168.10.10/24, шлюз 192.168.10.99) я создал новое правило брандмауэра в "Политике IPv4", чтобы разрешить весь трафик из "lan" в "wan". Это снова подключило меня к Интернету, но, как и ожидалось, я не могу пинговать его или SSH к коммутатору или любым другим хостам в сети 192.168.1.0/24. Я подтвердил это, вернув свой рабочий стол к сети 192.168.1.0/24 (шлюз 192.168.1.99), что отключило мой Интернет, но я снова могу пинговать/SSH к другим хостам в этой подсети, и коммутатор снова подключается.
Учитывая, что коммутатор по умолчанию использует IP-адрес 192.168.1.20/24, если он не получает аренду DHCP, я включил DHCP-сервер для интерфейса «lan», и коммутатору наконец-то был назначен IP-адрес, и он подключился к моему рабочему столу.
Теперь следующая проблема заключалась в том, чтобы выяснить, как разрешить устройствам на «внутреннем» интерфейсе (устройствам Wi-Fi) взаимодействовать с устройствами на «lan» интерфейсе (проводными устройствами). Для этого я настроил 2 политики IPv4: разрешить весь трафик из «lan» во «внутренний» и разрешить весь трафик из «внутреннего» в «lan».
Это решение позволяет достичь желаемого результата, но я не уверен, что это самый безопасный (или «лучший») способ его достижения.